다종다양한 IoT 기기까지 지원하는 유연성 요구
[데이터넷] EDR의 완성도를 높이기 위해서는 기존의 엔드포인트 보안 기술과의 통합이 반드시 필요하다. ‘백신’으로 대변되는 엔드포인트 보안 솔루션은 30년의 역사를 가진 오랜 기술을 갖고 있다. 엔드포인트 보안 솔루션은 모든 IT 기기에 필수적인 솔루션으로, 최신 공격 정보를 반영한 위협 DB를 이용해 알려진 공격을 차단한다.
위협 DB에 등록된 악성코드만을 차단하는 ‘전통적인 백신’은 이제 찾아볼 수 없다. 백신은 지속적으로 진화를 거듭해 통합 엔드포인트 보안 플랫폼(EPP)으로 거듭났다. 시그니처 기반 탐지, 행위분석, 평판분석, AI 기반 분석 등을 이용해 알려지지 않은 위협까지 차단할 수 있도록 한다.
다만 백신은 자동 탐지와 차단을 원칙으로 하기 때문에 정확하게 위협이라고 판정된 것만 차단할 수 있다. 대부분의 공격은 백신이 위협인지 아닌지 판단하지 못한 ‘그레이 영역’에서 발생한다. EDR이 그레이 영역에 속한 위협을 찾을 수 있기 때문에 백신과 EDR의 통합이 가속화되고 있다.
장성민 한국트렌드마이크로 상무는 “우리나라에서 엔드포인트 보안 솔루션은 ‘실제 업무에 사용할 수 있는가’가 가장 중요하다. 아무리 탐지율이 좋다 해도 엔드포인트 리소스를 많이 사용하거나 오탐이 많으면 사용할 수 없다. 그래서 EDR 단독 솔루션을 사용하지 않고 EDR과 백신을 함께 사용하는 통합 보안 플랫폼이 도입되고 있다”고 말했다.
IoT, 엔드포인트 통합 보안 확산 촉진
엔드포인트 통합 보안 전략은 IoT 환경으로 확산되면서 더욱 힘을 받고 있다. 인터넷에 연결되는 엔드포인트의 숫자와 종류가 많아지면서 다종다양한 기기를 지원하는 보안 플랫폼의 수요가 늘어난다. 일반 업무환경의 예를 들어봐도 임직원은 스마트폰, 태블릿, 노트북, 데스크톱PC 등 여러 기기를 이용하고 있으며, 사무실 뿐 아니라 집에서도 일하고 있으며, 가족이 함께 사용하는 공용 기기를 이용하는 경우도 있다.
이렇게 다양한 환경에서 여러 기기를 이용할 때 보안 문제를 해결하기 위해서는 가볍고 빠르며 안정적으로 작동하며 최신 위협에 지능적으로 대응할 수 있어야 한다. 전사 엔드포인트에 대한 가시성을 확보하고 통합 인텔리전스를 적용한 자동화된 탐지와 대응도 필수다.
위협 인텔리전스 연동으로 정확한 탐지
EPP는 백신 기업들이 가장 먼저 주창하고 나섰다. 오랜 기간 검증된 안정된 엔드포인트 보안 기술에 위협 대응 전문성을 집약시킨 EDR을 통합한 이상적인 EPP를 제공할 수 있다는 주장이다. 안랩의 경우, EPP와 EDR, 보안평가 솔루션, 개인정보 보호 기능을 함께 제공할 수 있다고 주장한다.
안랩 EDR은 위협 정보를 직관적으로 제공해 분석 편의성을 높였으며, 취약한 시스템을 자동으로 파악해 조치하는 ESA, 패치관리 시스템, 개인정보 유출 방지 솔루션을 EPP와 연계해 보안 탐지 효과를 높였다.
이스트시큐리티는 백신과 EDR, 그리고 위협 인텔리전스를 연동하는 방식으로 엔드포인트 위협을 제거한다. 1600만 이상 실 사용자를 확보한 엔드포인트 보안 솔루션 ‘알약’으로 알려진 위협을 차단한 후 이스트시큐리티의 악성코드 분석 역량을 집약한 EDR, 그리고 최신 위협 정보를 분석하는 ‘쓰렛 인사이드(TI)’를 단일 플랫폼으로 통합했다.
이스트시큐리티의 통합 보안 플랫폼을 도입한 신세계 조선호텔과 인천종합에너지는 글로벌 엔드포인트 보안 솔루션에서 이스트시큐리티 제품으로 바꾼 경우다. 글로벌 솔루션은 과다한 보안 이벤트를 발생시켰으나 근본적인 원인을 알려주지 않아 보안조직을 불편하게 했다.
이스트시큐리티는 알약으로 알려진 위협을 제거하고, 알약EDR로 지속적으로 모니터링을 통해 알려지지 않은 위협 의심행위를 격리한 후 TI의 상세 분석 정보를 바탕으로 한 대응 가이드를 제공한다. EDR의 관리 복잡성을 제거하기 위해 자동 탐지와 대응 기술을 고도화하고 있으며, 패치관리 시스템, 내PC지키미 등 여러 엔드포인트 보안 솔루션과 연계해 엔드포인트에서 발생하는 다양한 위협에 효과적으로 대응할 수 있게 한다.
또한 ▲위협 의심 행위 선 차단 ▲직관적인 위협 흐름도 제공 ▲인텔리전스 기반 위협 식별과 상세 분석, 네트워크 차단이나 프로세스 종료 등 즉각적인 보안 정책 등을 지원한다. 보안 담당자가 사내 악성코드 유입 흐름과 유형 식별까지 직관적으로 확인해 엔드포인트 보안 가시성’을 높여준다.
타사 백신과 함께 사용 가능한 EPP
엔드포인트 통합보안 플랫폼 중 최근 눈에 띄는 접근은 트렌드마이크로에서 등장하고 있다. 트렌드마이크로는 타사 백신과 함께 사용할 수 있도록 EPP 솔루션 ‘에이펙스원(ApexOne)’을 개선했다. 멀티백신은 탐지율을 높일 수 있다는 장점이 있지만 충돌이 잦고 리소스 사용이 많아 권장하지 않는다. 에이펙스원은 타사 백신과도 유연하게 연동할 수 있도록 해 기존 백신을 걷어내지 않고 트렌드마이크로의 엔드포인트 보안 솔루션을 운영할 수 있도록 한다.
에이펙스원에는 EDR 모듈인 ‘엔드포인트 센서’가 탑재되는데, 침해사고의 근본 원인 분석(RCA)을 제공한다. 거의 대부분의 서버 환경까지 지원할 수 있어 확장성이 매우 뛰어나다.
에이펙스원은 하이파이 머신러닝 엔진을 적용해 위협 탐지와 대응을 최대한 자동화했으며, 행위분석, 애플리케이션 제어, 위협 인텔리전스 등 지능형 탐지 엔진을 통합해 보안 효과를 높인다. APT 방어 솔루션, 이메일 보안 솔루션, 클라우드 보안 솔루션과 연계해 전사 위협 가시성과 대응 역량을 강화한다.
장성민 한국트렌드마이크로 상무는 “에이펙스원은 매우 가볍게 동작하는 EPP 솔루션으로, 타사 백신과 함께 운영해도 장애와 충돌 없이 운영할 수 있다. EDR을 포함한 여러 분석 엔진을 올인원으로 구현해 위협 탐지·대응을 자동화해 관리 부담을 대폭 줄였으며, 보안 전문성이 부족해도 문제없이 운영할 수 있도록 했다”고 설명했다.
